Udostępnij za pośrednictwem


Wymagania dotyczące translatora adresów sieciowych w usłudze ExpressRoute

Aby nawiązać połączenie z usługami w chmurze firmy Microsoft przy użyciu usługi ExpressRoute, należy skonfigurować dostęp do sieci i zarządzać nimi. Niektórzy dostawcy połączenia oferują konfigurowanie translatora adresów sieciowych oraz zarządzanie nim jako usługę zarządzaną. Skontaktuj się z dostawcą połączenia, aby sprawdzić, czy taka usługa jest oferowana. Jeśli nie, musisz przestrzegać wymagań opisanych w tym artykule.

Przejrzyj stronę ExpressRoute circuits and routing domains (Obwody i domeny routingu usługi ExpressRoute), która zawiera omówienie różnych domen routingu. Aby spełnić wymagania dotyczące publicznego adresu IP dla publicznej komunikacji równorzędnej Azure i komunikacji równorzędnej Microsoft, warto skonfigurować translator adresów sieciowych między siecią a firmą Microsoft. W tej sekcji przedstawiono szczegółowy opis infrastruktury translatora adresów sieciowych, którego należy skonfigurować.

Wymagania dotyczące translatora adresów sieciowych dla komunikacji równorzędnej firmy Microsoft

Ścieżka komunikacji równorzędnej firmy Microsoft umożliwia nawiązywanie połączenia z usługami w chmurze firmy Microsoft. Lista usług obejmuje usługi platformy Microsoft 365, takie jak Exchange Online, SharePoint Online i Skype dla firm. Firma Microsoft planuje obsługę dwukierunkowej łączności w oparciu o komunikację równorzędną firmy Microsoft. Ruch skierowany usług w chmurze firmy Microsoft musi zostać podłączony do funkcji SNAT i uzyskać prawidłowe publiczne adresy IPv4, zanim wejdzie do sieci firmy Microsoft. Ruch skierowany do Twojej sieci z usług w chmurze firmy Microsoft należy przetworzyć na granicy Internetu, aby zapobiec routingowi asymetrycznemu. Na poniższej ilustracji przedstawiono ogólny obraz sposobu konfigurowania translatora adresów sieciowych na potrzeby komunikacji równorzędnej firmy Microsoft.

Ogólny diagram przedstawiający sposób konfigurowania translatora adresów sieciowych na potrzeby komunikacji równorzędnej firmy Microsoft.

Ruch pochodzący z sieci skierowany do firmy Microsoft

  • Należy zadbać o to, by ruch wchodził na ścieżkę komunikacji równorzędnej Microsoft z prawidłowym publicznym adresem IPv4. Firma Microsoft musi mieć możliwość weryfikacji właściciela puli adresów translatora adresów sieciowych IPv4 względem regionalnego rejestru internetowego routingu (RIR) lub internetowego rejestru routingu (IRR). Sprawdzanie jest wykonywane na podstawie numeru AS, z którego jest używana komunikacja równorzędna, oraz adresów IP używanych dla translatora adresów sieciowych. Informacje dotyczące rejestrów routingu znajdują się w temacie ExpressRoute routing requirements (Wymagania dotyczące routingu w usłudze ExpressRoute).

  • Adresy IP używane do konfiguracji komunikacji równorzędnej firmy Microsoft i innych obwodów usługi ExpressRoute nie mogą być anonsowane do firmy Microsoft za pośrednictwem sesji protokołu BGP. Nie ma żadnych ograniczeń dotyczących długości prefiksu adresu IP translatora adresów sieciowych anonsowanych za pośrednictwem tej komunikacji równorzędnej.

    Ważne

    Pula adresów IP translatora adresów sieciowych anonsowana do firmy Microsoft nie może być anonsowana do Internetu. Spowodowałoby to przerwanie łączności z innymi usługami firmy Microsoft. Zalecamy dostęp do publicznego adresu IP z zakresu przypisanego do linku podstawowego lub pomocniczego. Zamiast tego należy użyć innego zakresu publicznych adresów IP, które zostały przypisane do Ciebie i zarejestrowane w regionalnym rejestrze internetowym (RIR) lub rejestrze routingu internetowego (IRR). W zależności od woluminu wywołań ten zakres może być tak mały, jak pojedynczy adres IP (reprezentowany jako "/32" dla protokołu IPv4 lub "/128" dla protokołu IPv6).

Ruch pochodzący z firmy Microsoft skierowany do sieci

  • Niektóre scenariusze wymagają od firmy Microsoft zainicjowania połączenia z punktami końcowymi usługi obsługiwanymi w ramach sieci użytkownika. Typowym przykładem scenariusza jest łączność z serwerami usług ADFS hostowanymi w sieci z platformy Microsoft 365. W takich przypadkach należy przefiltrować odpowiednie prefiksy z sieci użytkownika do komunikacji równorzędnej firmy Microsoft.
  • Należy użyć funkcji SNAT względem ruchu z firmy Microsoft na granicy Internetu w punktach końcowych usługi w Twojej sieci, aby zapobiec routingowi asymetrycznemu. Żądania i odpowiedzi z docelowym adresem IP zgodnym z trasą odebraną z usługi ExpressRoute zawsze przechodzą przez usługę ExpressRoute. Routing asymetryczny występuje w przypadku odebrania żądania przez Internet z odpowiedzią wysłaną za pomocą usługi ExpressRoute. Użycie funkcji SNAT względem ruchu przychodzącego z firmy Microsoft na granicy Internetu wymusza zwrócenie ruchu odpowiedzi do granicy Internetu, co rozwiązuje problem.

Routing asymetryczny przy użyciu usługi ExpressRoute

Anonse puli adresów IP translatora adresów sieciowych oraz tras

Należy się upewnić, że ruch jest wprowadzany do ścieżki komunikacji równorzędnej firmy Microsoft platformy Azure z prawidłowym publicznym adresem IPv4. Firma Microsoft musi mieć możliwość weryfikacji własności puli adresów translatora adresów sieciowych IPv4 względem regionalnego rejestru internetowego routingu (RIR) lub internetowego rejestru routingu (IRR). Sprawdzanie jest wykonywane na podstawie numeru AS, z którego jest używana komunikacja równorzędna, oraz adresów IP używanych dla translatora adresów sieciowych. Informacje dotyczące rejestrów routingu znajdują się w temacie ExpressRoute routing requirements (Wymagania dotyczące routingu w usłudze ExpressRoute).

Nie ma żadnych ograniczeń w zakresie długości prefiksu IP translatora adresów sieciowych anonsowanego za pośrednictwem komunikacji równorzędnej. Należy monitorować pulę translatora adresów sieciowych i upewnić się, że sesje translatora adresów sieciowych nie są zagęszczone.

Ważne

Pula adresów IP translatora adresów sieciowych anonsowana do firmy Microsoft nie może być anonsowana do Internetu. Spowodowałoby to przerwanie łączności z innymi usługami firmy Microsoft. Zalecamy dostęp do publicznego adresu IP z zakresu przypisanego do linku podstawowego lub pomocniczego. Zamiast tego należy użyć innego zakresu publicznych adresów IP, które zostały przypisane do Ciebie i zarejestrowane w regionalnym rejestrze internetowym (RIR) lub rejestrze routingu internetowego (IRR). W zależności od woluminu wywołań ten zakres może być tak mały, jak pojedynczy adres IP (reprezentowany jako "/32" dla protokołu IPv4 lub "/128" dla protokołu IPv6).

Następne kroki